1. Michal paek | www.michalspacek.cz | @spazef0rze Kolik webovch tok zn, tolikrt jsi agentem Slajdy obsahuj poznmky nejen pro ty, kte na pednce nebyli. The Matrix Reloaded 2003 Warner Bros.

2. OWASP Top 10 The Open Web Application Security Project www.owasp.org http://hqscreen.com/comics-the-wasp-wallpaper-54781/ Organizace OWASP kad ti roky sestavuje hitpardu nejastjch webovch tok, o kterch by ml mt pont kad, kdo se o webovou bezpenost aspo trochu zajm. OWASP krom tto hitpardy tak ukazuje, jak se takovm tokm brnit, jejich web tedy stoj minimln za prozkoumn. 3. OWASP Top 103 2007 1. Cross Site Scripting (XSS) 2. Injection Flaws (SQL Injection) 3. Malicious File Execution (RFI) Prvn ti msta z Top 10 2007 vypadala takto. toky XSS i SQL Injection si od pedchozho vydn v roce 2004 polepily, tok RFI (Remote File Inclusion) byl v hitpard novinkou. 4. OWASP Top 103 2010 1. Injection (SQL, OS, LDAP) 2. Cross Site Scripting (XSS) 3. Broken Auth and Session Management V roce 2010 se poad na prvnch tech pkch trochu prohzelo. SQL Injection a podobn toky se dostvaj do veden, tok XSS si pohoril a nov se v prvn trojce objevuj toky, kter se dotkaj sessions (nap, Session Hijacking, Session Fixation). 5. OWASP Top 103 2013 1. Injection (SQL, OS, LDAP) 2. Broken Auth and Session Management 3. Cross Site Scripting (XSS) Injection toky (SQL Injection apod.) vedou hitpardu i v roce 2013, ale toky tkajc se sessions a pihlaovn si vymuj pku s Cross Site Scriptingem. dn velk zmna, nicmn opakovn je matka moudrosti, pojme si tedy SQL Injection a XSS znovu ukzat. 6. SQL Injection http://dilanwarnakulasooriya.wordpress.com/2012/01/05/sql-injections-and-webscarab/ 7. SQL Injection NT Web Technology Vulnerabilities Rain Forest Puppy (Jeff Forristal) Phrack Magazine 1998 http://www.phrack.org/issues/54/8.html phone.asp?name=rfp' select * from table1 -- tok SQL Injection veejn popsal Jeff Forristal vystupujc pod pezdvkou Rain Forest Puppy (zkrcen rfpuppy apod.) v lnku o webovch zranitelnostech Windows NT pro Phrack Magazine ji v roce 1998, tenkrt jet jako bezejmenn tok. 8. ' OR 1=1; -- tok spov v modifikaci SQL dotaz, kter aplikace posl databzovmu serveru. Pokud aplikace z kamer mcch rychlost bude tento tok umoovat, tak idi vozu s touhle znakou pravdpodobn pokutu za rychlou jzdu v menm seku nikdy nedostane. 9. SELECT jmeno, adresa FROM vozidla WHERE rz = '$prectena'; Kd zraniteln aplikace, kter automaticky pole pokutu tomu, kdo pod kamerami projel rychleji, ne je povoleno, me vypadat zjednoduen teba takto. V promnn $prectena je peten znaka z auta (uivatelsk vstup) a je jednodue pmo vloena do SQL dotazu. 10. SELECT jmeno, adresa FROM vozidla WHERE rz = '1AM 1337'; 1AM 1337 Takto vypad dotaz odeslan z aplikace na databzov server, kdy pod kamerou rychle projede 1337 idi vozu registrovanho v Praze. Za pr dn dostane potou hezk pozdrav. 11. SELECT jmeno, adresa FROM vozidla WHERE rz = '' OR 1=1; --'; ' OR 1=1; -- V ppad, e kamera pete tuhle znaku, pak pokutu dostanou vichni majitel voz, v lepm ppad jenom ten prvn, ale rozhodn ne ten, kdo to auto dil nebo vlastn. Podmnce 1=1 vyhov vechny zznamy a zbytek dotazu je zakomentovn (pomoc --). 12. Kdy aplikace pro prci s databz pouv knihovnu, kter umouje poslat vce pkaz oddlench stednkem narz, je mon arovat. Pokud k tomu arodj m patin prva. 13. SELECT jmeno, adresa FROM vozidla WHERE rz = ?; ' OR 1=1; -- Prepared Statements Jak se sprvn brnit proti toku SQL Injection? U konen zapomete na njak escapovn a pouvejte radji prepared statements a vzn promnnch, kter oddluj dotaz od dat (uivatelskho vstupu), take z tch dat nen mon dotaz ji zptn ovlivnit. 14. Cross Site Scripting (XSS) Script Injection David Ross, Microsoft, 1999 Veejn: http://ha.ckers.org/cross-site-scripting.html > Cross Site Scripting poprv popsal David Ross z Microsoftu v roce 1999 v jednom internm dokumentu a nazval ho Script Injection. V roce 2000 tok dostal nov jmno a upraven text Davida Rosse byl vydn veejn. Dnes najdete jeho kopii na serveru ha.ckers.org. 15. Jedna z variant XSS vypad napklad takto. To slovo Scripting v nzvu je ale trochu zavdjc, do strnky je toti mon vloit jakkoliv kousek HTML kdu, teba obrzek. 16. < < > > " " ' ' & & Princip obrany proti XSS spov v pevdn nebezpench znak na entity. Nejlep je tuto prci penechat njakmu ablonovacmu systmu, kter to bude dlat automaticky. Takovou ochranu je vhodn doplnit nap. HTTP hlavikou Content-Security-Policy. 17. 2013 Webov bezpenost ale nen jenom o hitpard OWASP Top 10, SQL Injection a XSS. Kad rok se objev pr destek novch webovch hackovacch technik a typ tok. 18. 2013 31 V roce 2013 jich bylo veejn popsno 31. 19. 2012 56 2011 51 2010 59 2009 82 V pedchozch letech byla roda dokonce jet bohat. Napklad v roce 2009 bylo veejn popsno 82 novch hackovacch technik a tok proti webovm aplikacm. 20. Cross-Site Port Attack XSPA, 2012 Jeden z tch jednoduch na vysvtlen je teba tok XSPA, kter byl popsn v roce 2012. 21. Spov v tom, e nkter servery (MySQL, SSH) zobrazuj ihned po pipojen njak pozdrav i pesto, e se k nim pipojte protokolem, ktermu nerozum. tonk takto me maskovat svoji identitu a IP adresu nebo prozkoumvat sluby, na kter se jinak nepipoj. 22. STOP! DEMO TIME! 23. Takto se dala zjistit verze njakho SSH serveru pomoc XSPA. Na server scanme.nmap.org se ve skutenosti pipojil W3C validtor, kter skryl tonkovu adresu. 24. XML External Entities XXE, 2002 http://www.altova.com/list/xml-dev/200206/msg1000183549.html V roce 2013 se hodn hovoilo o toku XXE, akoliv byl poprv popsn ji v roce 2002. Jeho popularit pomohlo tak to, e Facebook za nalezen zranitelnosti XXE na svch serverech vyplatil dosud nejvt odmnu za nalezen bezpenostn chyby $33500. 25. ]> &victim; tok XXE spov ve zneuit vlastnosti XML, kter dovoluje parseru natat definice entit z loklnch ale i vzdlench soubor. Pouit entity &victim; ve vyvol poadavek na vzdlen server a skryje identitu tonka nebo naopak prozrad IP adresu XML parseru. 26. http://www.sensepost.com/blog/10178.html Pi ten loklnch i vzdlench soubor je teba dvat pozor na to, aby jejich obsah bylo validn XML. Programovac jazyky nm k tomu natst poskytuj nstroje, ktermi to lze zajistit. Na uveden adrese je ukzka, jak lze XXE zneut ke vzdlenmu sputn kdu. 27. Lucky 13 CBC-mode encryption v TLS Ochrana? RC4! V roce 2013 se hodn pozornosti vnovalo soukrom, odposlechm a tak protokolu TLS. Bylo popsno nkolik tok, krom ji pomrn znmho BREACH to byl nap. tok Lucky 13, co je v podstat timing side channel tok na samotnou TLS specifikaci. Jako jedno z een se nabz pestat pouvat ifry v reimu CBC a pejt na algoritmus RC4. http://www.isg.rhul.ac.uk/tls/Lucky13.html 28. Zranitelnosti RC4 Zskn sti pvodnch dat Ochrana? CBC-mode! (Viz Lucky 13) Fajn, jene ti sam lid nalezli problm i v RC4, dky ktermu je mon zskat st pvodnch nezaifrovanch dat. Jedno z een je msto RC4 pout ifry v CBC reimu. http://www.isg.rhul.ac.uk/tls/ 29. een TLS 1.2 + AES-GCM Galois/Counter Mode Tohle koleko RC4CBC m natst podn een a tm je TLS 1.2 a nov AEAD ifry, jako nap. AES-GCM, kterou podporuj prohlee Chrome 31, Firefox 27, IE11 a novj. 30. Django Auth Denial-of-Service PBKDF2 Zajmavost objevenou v roce 2013 je napklad to, e webov framework Django sice sprvn pro ukldn hesel pouv PBKDF2, ale nijak neomezoval dlku tch hesel a tak kdy mu nkdo poslal heslo dlouh milion znak, tak ho Django ovoval minutu a kdy to nkdo udlal nkolikrt narz, tak server jen ovoval patn hesla a pestal odpovdat. Django nastavilo horn limit dlky hesla na 4096 znak, ale asi by bohat stailo i 1024. https://www.djangoproject.com/weblog/2013/sep/15/security/ 31. Autocomplete CSS Hack Pomoc automatickho doplovn formul a skrytch pol je mon od uivatele bez jeho vdom vythnout mnohem vce dat, nap. jeho adresu a jmno pi zadvn e-mailu. Zkuste si to teba v Chrome. I tenhle jednoduch tok byl popsn v roce 2013. https://yoast.com/research/autocompletetype.php 32. Michal paek www.michalspacek.cz @spazef0rze https://blog.whitehatsec.com/ top-10-web-hacking-techniques-2013/ Vechny toky zveejnn v roce 2013 a odkazy na seznamy z pedchozch let najdete na: